SCIM용 REST API 엔드포인트
REST API를 사용하여 SCIM을 통해 GitHub 조직 구성원 액세스를 제어하고 관리합니다.
참고: 이 작업을 수행하면 SCIM을 사용해 GitHub Enterprise Cloud의 조직에 대한 액세스를 프로비저닝할 수 있습니다. 이 작업은 Enterprise Managed Users과(와) 함께 사용할 수 없습니다. SCIM을 사용한 관리형 사용자 계정 프로비저닝에 관한 자세한 내용은 “SCIM용 REST API 엔드포인트”을(를) 참조하세요.
SCIM 정보
조직의 SCIM 프로비저닝
이러한 엔드포인트는 SCIM 지원 IdP(ID 공급자)에서 GitHub Enterprise Cloud 조직 멤버십의 프로비저닝을 자동화하는 데 사용되며 SCIM 표준 버전 2.0을 기반으로 합니다. IdP는 GitHub Enterprise Cloud SCIM 엔드포인트에 대한 기준 URL https://api.github.com/scim/v2/organizations/{org}/
를 사용해야 합니다.
참고:
- 이러한 엔드포인트는 SAML SSO가 사용하도록 설정된 GitHub Enterprise Cloud을(를) 사용하는 개별 조직에서만 사용할 수 있습니다. SCIM에 대한 자세한 내용은 "조직에 대한 SCIM 정보"을 참조하세요. SAML SSO 조직에 대한 토큰 권한 부여에 대한 자세한 내용은 "REST API에 인증"을 참조하세요.
- 이러한 엔드포인트는 엔터프라이즈 계정 또는 과(와) 함께 사용할 수 없습니다.
인증
이러한 엔드포인트를 사용하려면 GitHub Enterprise Cloud 조직의 소유자로 인증해야 합니다. REST API는 OAuth 2.0 전달자 토큰(예: GitHub App 사용자 액세스 토큰)이 Authorization
헤더에 포함될 것으로 예상합니다. 인증에 personal access token (classic)을(를) 사용하는 경우 admin:org
범위가 있어야 하며 SAML SSO 조직에서 사용할 수 있는 권한도 부여해야 합니다.
SAML 및 SCIM 데이터 매핑
SAML IdP 및 SCIM 클라이언트는 각 사용자에 대해 일치하는 NameID
및 userName
값을 사용해야 합니다. 그러면 SAML을 통해 인증하는 사용자를 프로비저닝된 SCIM ID에 연결할 수 있습니다.
지원되는 SCIM 사용자 특성
속성 | 형식 | 설명 |
---|---|---|
userName | string | 사용자의 사용자 이름입니다. |
name.givenName | string | 사용자의 이름입니다. |
name.familyName | string | 사용자의 성입니다. |
emails | array | 사용자 메일 목록입니다. |
externalId | string | 이 식별자는 SAML 공급자가 생성하며, SAML 공급자에서 GitHub 사용자를 확인하기 위한 고유 ID로 사용됩니다. SCIM 프로비저닝된 ID 나열 엔드포인트를 사용하고 사용자의 GitHub 사용자 이름 또는 메일 주소와 같은 기타 알려진 특성을 필터링하거나 SAML 공급자에서 사용자의 externalID 를 찾을 수 있습니다. |
id | string | GitHub SCIM 엔드포인트에서 생성된 식별자입니다. |
active | boolean | ID가 활성 상태인지(true) 또는 ID 프로비전을 해제해야 하는지(false)를 나타내는 데 사용됩니다. |
참고: 이러한 엔드포인트는 대/소문자를 구분합니다. 예를 들어 Users
엔드포인트의 첫 번째 문자는 대문자로 시작해야 합니다.
GET /scim/v2/organizations/{org}/Users/{scim_user_id}
List SCIM provisioned identities
Retrieves a paginated list of all provisioned organization members, including pending invitations. If you provide the filter
parameter, the resources for all matching provisions members are returned.
When a user with a SAML-provisioned external identity leaves (or is removed from) an organization, the account's metadata is immediately removed. However, the returned list of user accounts might not always match the organization or enterprise member list you see on GitHub Enterprise Cloud. This can happen in certain cases where an external identity associated with an organization will not match an organization member:
- When a user with a SCIM-provisioned external identity is removed from an organization, the account's metadata is preserved to allow the user to re-join the organization in the future.
- When inviting a user to join an organization, you can expect to see their external identity in the results before they accept the invitation, or if the invitation is cancelled (or never accepted).
- When a user is invited over SCIM, an external identity is created that matches with the invitee's email address. However, this identity is only linked to a user account when the user accepts the invitation by going through SAML SSO.
The returned list of external identities can include an entry for a null
user. These are unlinked SAML identities that are created when a user goes through the following Single Sign-On (SSO) process but does not sign in to their GitHub Enterprise Cloud account after completing SSO:
-
The user is granted access by the IdP and is not a member of the GitHub Enterprise Cloud organization.
-
The user attempts to access the GitHub Enterprise Cloud organization and initiates the SAML SSO process, and is not currently signed in to their GitHub Enterprise Cloud account.
-
After successfully authenticating with the SAML SSO IdP, the
null
external identity entry is created and the user is prompted to sign in to their GitHub Enterprise Cloud account:- If the user signs in, their GitHub Enterprise Cloud account is linked to this entry.
- If the user does not sign in (or does not create a new account when prompted), they are not added to the GitHub Enterprise Cloud organization, and the external identity
null
entry remains in place.
"List SCIM provisioned identities"에 대한 세분화된 액세스 토큰
이 엔드포인트는 다음 세분화된 토큰 형식에서 작동합니다.:
세분화된 토큰에는 다음 권한 집합이 있어야 합니다.:
- "Members" organization permissions (read)
"List SCIM provisioned identities"에 대한 매개 변수
속성, 형식, 설명 |
---|
accept string Setting to |
속성, 형식, 설명 |
---|
org string RequiredThe organization name. The name is not case sensitive. |
속성, 형식, 설명 |
---|
startIndex integer Used for pagination: the index of the first result to return. |
count integer Used for pagination: the number of results to return. |
filter string Filters results using the equals query parameter operator (
To filter results for the identity with the email
|
"List SCIM provisioned identities"에 대한 HTTP 응답 상태 코드
상태 코드 | 설명 |
---|---|
200 | OK |
304 | Not modified |
400 | Bad request |
403 | Forbidden |
404 | Resource not found |
429 | Too many requests |
"List SCIM provisioned identities"에 대한 코드 샘플
요청 예제
curl -L \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users
Response with filter
Status: 200
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
],
"totalResults": 1,
"itemsPerPage": 1,
"startIndex": 1,
"Resources": [
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "5fc0c238-1112-11e8-8e45-920c87bdbd75",
"externalId": "00u1dhhb1fkIGP7RL1d8",
"userName": "octocat@github.com",
"displayName": "Mona Octocat",
"name": {
"givenName": "Mona",
"familyName": "Octocat",
"formatted": "Mona Octocat"
},
"emails": [
{
"value": "octocat@github.com",
"primary": true
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2018-02-13T15:05:24.000-08:00",
"lastModified": "2018-02-13T15:05:55.000-08:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/5fc0c238-1112-11e8-8e45-920c87bdbd75"
}
}
]
}
Provision and invite a SCIM user
Provisions organization membership for a user, and sends an activation email to the email address. If the user was previously a member of the organization, the invitation will reinstate any former privileges that the user had. For more information about reinstating former members, see "Reinstating a former member of your organization."
"Provision and invite a SCIM user"에 대한 세분화된 액세스 토큰
이 엔드포인트는 다음 세분화된 토큰 형식에서 작동합니다.:
세분화된 토큰에는 다음 권한 집합이 있어야 합니다.:
- "Members" organization permissions (write)
"Provision and invite a SCIM user"에 대한 매개 변수
속성, 형식, 설명 |
---|
accept string Setting to |
속성, 형식, 설명 |
---|
org string RequiredThe organization name. The name is not case sensitive. |
속성, 형식, 설명 | ||||
---|---|---|---|---|
userName string RequiredConfigured by the admin. Could be an email, login, or username | ||||
displayName string The name of the user, suitable for display to end-users | ||||
name object Required | ||||
Properties of |
속성, 형식, 설명 |
---|
givenName string Required |
familyName string Required |
formatted string |
emails
array of objects Requireduser emails
Properties of emails
속성, 형식, 설명 |
---|
value string Required |
primary boolean |
type string |
schemas
array of strings externalId
string groups
array of strings active
boolean "Provision and invite a SCIM user"에 대한 HTTP 응답 상태 코드
상태 코드 | 설명 |
---|---|
201 | Created |
304 | Not modified |
400 | Bad request |
403 | Forbidden |
404 | Resource not found |
409 | Conflict |
500 | Internal server error |
"Provision and invite a SCIM user"에 대한 코드 샘플
요청 예제
curl -L \
-X POST \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users \
-d '{"userName":"octocat","name":"Monalisa Octocat","emails":[{"value":"mona.octocat@github.com","primary":true}]}'
Response
Status: 201
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}
Get SCIM provisioning information for a user
Gets SCIM provisioning information for a user.
"Get SCIM provisioning information for a user"에 대한 세분화된 액세스 토큰
이 엔드포인트는 다음 세분화된 토큰 형식에서 작동합니다.:
세분화된 토큰에는 다음 권한 집합이 있어야 합니다.:
- "Members" organization permissions (read)
"Get SCIM provisioning information for a user"에 대한 매개 변수
속성, 형식, 설명 |
---|
accept string Setting to |
속성, 형식, 설명 |
---|
org string RequiredThe organization name. The name is not case sensitive. |
scim_user_id string RequiredThe unique identifier of the SCIM user. |
"Get SCIM provisioning information for a user"에 대한 HTTP 응답 상태 코드
상태 코드 | 설명 |
---|---|
200 | OK |
304 | Not modified |
403 | Forbidden |
404 | Resource not found |
"Get SCIM provisioning information for a user"에 대한 코드 샘플
요청 예제
curl -L \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID
Response
Status: 200
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}
Update a provisioned organization membership
Replaces an existing provisioned user's information. You must provide all the information required for the user as if you were provisioning them for the first time. Any existing user information that you don't provide will be removed. If you want to only update a specific attribute, use the Update an attribute for a SCIM user endpoint instead.
You must at least provide the required values for the user: userName
, name
, and emails
.
Warning
Setting active: false
removes the user from the organization, deletes the external identity, and deletes the associated {scim_user_id}
.
"Update a provisioned organization membership"에 대한 세분화된 액세스 토큰
이 엔드포인트는 다음 세분화된 토큰 형식에서 작동합니다.:
세분화된 토큰에는 다음 권한 집합이 있어야 합니다.:
- "Members" organization permissions (write)
"Update a provisioned organization membership"에 대한 매개 변수
속성, 형식, 설명 |
---|
accept string Setting to |
속성, 형식, 설명 |
---|
org string RequiredThe organization name. The name is not case sensitive. |
scim_user_id string RequiredThe unique identifier of the SCIM user. |
속성, 형식, 설명 | ||||
---|---|---|---|---|
schemas array of strings | ||||
displayName string The name of the user, suitable for display to end-users | ||||
externalId string | ||||
groups array of strings | ||||
active boolean | ||||
userName string RequiredConfigured by the admin. Could be an email, login, or username | ||||
name object Required | ||||
Properties of |
속성, 형식, 설명 |
---|
givenName string Required |
familyName string Required |
formatted string |
emails
array of objects Requireduser emails
Properties of emails
속성, 형식, 설명 |
---|
type string |
value string Required |
primary boolean |
"Update a provisioned organization membership"에 대한 HTTP 응답 상태 코드
상태 코드 | 설명 |
---|---|
200 | OK |
304 | Not modified |
403 | Forbidden |
404 | Resource not found |
"Update a provisioned organization membership"에 대한 코드 샘플
요청 예제
curl -L \
-X PUT \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \
-d '{"userName":"octocat","name":"Monalisa Octocat","emails":[{"value":"mona.octocat@github.com","primary":true}]}'
Response
Status: 200
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}
Update an attribute for a SCIM user
Allows you to change a provisioned user's individual attributes. To change a user's values, you must provide a specific Operations
JSON format that contains at least one of the add
, remove
, or replace
operations. For examples and more information on the SCIM operations format, see the SCIM specification.
Note
Complicated SCIM path
selectors that include filters are not supported. For example, a path
selector defined as "path": "emails[type eq \"work\"]"
will not work.
Warning
If you set active:false
using the replace
operation (as shown in the JSON example below), it removes the user from the organization, deletes the external identity, and deletes the associated :scim_user_id
.
{
"Operations":[{
"op":"replace",
"value":{
"active":false
}
}]
}
"Update an attribute for a SCIM user"에 대한 세분화된 액세스 토큰
이 엔드포인트는 다음 세분화된 토큰 형식에서 작동합니다.:
세분화된 토큰에는 다음 권한 집합이 있어야 합니다.:
- "Members" organization permissions (write)
"Update an attribute for a SCIM user"에 대한 매개 변수
속성, 형식, 설명 |
---|
accept string Setting to |
속성, 형식, 설명 |
---|
org string RequiredThe organization name. The name is not case sensitive. |
scim_user_id string RequiredThe unique identifier of the SCIM user. |
속성, 형식, 설명 | ||||
---|---|---|---|---|
schemas array of strings | ||||
Operations array of objects RequiredSet of operations to be performed | ||||
Properties of |
속성, 형식, 설명 |
---|
op string Required다음 중 하나일 수 있습니다.: |
path string |
value object or array or string |
"Update an attribute for a SCIM user"에 대한 HTTP 응답 상태 코드
상태 코드 | 설명 |
---|---|
200 | OK |
304 | Not modified |
400 | Bad request |
403 | Forbidden |
404 | Resource not found |
429 | Too Many Requests |
"Update an attribute for a SCIM user"에 대한 코드 샘플
요청 예제
curl -L \
-X PATCH \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \
-d '{"Operations":[{"op":"replace","value":{"displayName":"Octocat"}}]}'
Response
Status: 200
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}
Delete a SCIM user from an organization
Deletes a SCIM user from an organization.
"Delete a SCIM user from an organization"에 대한 세분화된 액세스 토큰
이 엔드포인트는 다음 세분화된 토큰 형식에서 작동합니다.:
세분화된 토큰에는 다음 권한 집합이 있어야 합니다.:
- "Members" organization permissions (write)
"Delete a SCIM user from an organization"에 대한 매개 변수
속성, 형식, 설명 |
---|
accept string Setting to |
속성, 형식, 설명 |
---|
org string RequiredThe organization name. The name is not case sensitive. |
scim_user_id string RequiredThe unique identifier of the SCIM user. |
"Delete a SCIM user from an organization"에 대한 HTTP 응답 상태 코드
상태 코드 | 설명 |
---|---|
204 | No Content |
304 | Not modified |
403 | Forbidden |
404 | Resource not found |
"Delete a SCIM user from an organization"에 대한 코드 샘플
요청 예제
curl -L \
-X DELETE \
-H "Accept: application/vnd.github+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID
Response
Status: 204